ISO / DIS 13485 : 2014 renforce les exigences sur les logiciels – Partie 2

Nouvelle clause 4.1.6

L'article dit:
L'organisation doit documenter les procédures pour la validation de l'application des logiciels utilisés dans le système de gestion de la qualité, y compris la production et la fourniture de service.

Ce est tout nouveau et pourrait nécessiter beaucoup d'heures de travail dans les entreprises où le SMQ se appuie sur le système informatisé et produit beaucoup de documents et de dossiers électroniques.
Ce est cependant pas si nouvelle pour les entreprises qui mettent en œuvre la réglementation déjà 21.CFR (voir ci-dessous).

La clause 4.1.6 se poursuit avec:
Ces applications logicielles doivent être validées pour leur utilisation prévue avant la première utilisation, et après toute modification de ce type de logiciel et / ou de son application. Les enregistrements de ces activités doivent être conservés.

OK, ce est logique. Si nous voulons valider le logiciel, nous avons besoin de les valider selon les critères établis (le plus élevé est l'utilisation prévue), nous avons besoin de revalider quand quelque chose a changé, et nous avons besoin d'enregistrer les résultats de la validation de prouver que cela a été fait.

La clause 4.1.6 se termine par:
Pour chaque application de logiciels utilisés dans le système de gestion de la qualité, l'organisme doit déterminer et justifier la démarche spécifique et le niveau d'effort à appliquer pour les activités de validation de logiciel basé sur le risque associé à l'utilisation du logiciel

Pfew! Nous pouvons choisir notre propre approche et d'affiner le niveau d'effort exigé par validation! Mais il doit être fait selon les résultats de l'évaluation des risques.

Mes deux commentaires (mes deux cents):

Commentaire 1: ce type de risque

La validation se fonde sur l'évaluation des risques, un risque élevé = validation lourd, faible risque = validation de la lumière.
Mais quel genre d'évaluation des risques?
Dans la section des définitions, on trouve la définition du risque et gestion des risques, qui se réfèrent tous deux à la norme ISO 14971. Nous pouvons supposer que la méthode de gestion des risques est nécessaire ISO 14971. Cependant, il n'y a pas de référence à la norme ISO 14971 à la clause 4.1.6, contrairement à certaines autres clauses relatives aux risques ailleurs dans la norme.
Et quel genre de risques devraient être évalués? Probablement ceux, pour lesquels la cause est une panne de logiciel QMS.
Sachant par expérience comment les gens ne se sentent pas à l'aise avec les risques liés aux logiciels, je parie que cette évaluation des risques va brûler beaucoup d'heures de travail dans les services de qualité!

Commentaire 2: l'approche la moins lourde

Je aime cette expression: approche moins lourde, parce que ce est exactement ce que tout le monde va faire. Traduit en termes pragmatiques: tout le monde va faire aussi peu que possible pour passer à travers la validation.
Ce est le corollaire de commentaire 1, si quelque chose est difficile à réaliser, je préfère essayer de ne pas le faire. Par exemple:

Un fabricant qui utilise des feuilles Excel simples (pas de formules) pour enregistrer CAPA pourrait faire valoir qu'il ya un très faible risque de panne de logiciel, et en conséquence ne validera pas les feuilles,
Un autre, qui utilise une base de données d'accès depuis 10 ans sans problèmes pourraient faire valoir qu'il n'y a pas besoin de valider quelque chose avec une longue histoire d'utilisation,
Un troisième, qui a acheté une licence d'un logiciel de gestion SMQ pourrait faire valoir que la validation a été faite par le processus de gestion des fournisseurs.
Ces trois exemples pourraient être suffisante dans certains cas, et ne permet pas dans d'autres.

Et 21 CFR?

Dans une certaine mesure, la nouvelle clause 4.1.6 est fait pour que la norme ISO 13485 plus en ligne avec les exigences de la réglementation américaine 21.CFR. Plus précisément, 21.CFR.870 (i):
Lorsque des ordinateurs ou des systèmes de traitement automatisé de données sont utilisés dans le cadre de la production ou du système qualité, le fabricant doit valider logiciels pour son utilisation prévue selon un protocole établi.
Je ai mis en gras ou le système de qualité, d'où les logiciels utilisés dans les processus de production sont déjà réglés par la clause 7.5.2 de la norme ISO 13485: 2003. Donc logiciels dans les systèmes de qualité, adressées par 21.CFR.870, sont couverts par la nouvelle clause 4.1.6.

Par conséquent, les fabricants qui se appliquent déjà une réglementation 21.CFR, ne seront pas surpris par la clause 4.1.6.

Conclusion

Beaucoup de travail est nécessaire pour mettre un SMQ existants et bien automatisés en ligne avec la nouvelle clause 4.1.6. Mais si ce est fait dans le cadre d'une stratégie réglementaire, il vaut la peine.
Ainsi, il est le SMQ plus prêt à l'évolution des réglementations (par exemple attendue en Europe) et plus en ligne avec les exigences 21.CFR sur la validation du logiciel.